Závazná podniková pravidla

Tento dokument je souhrnem a nenahrazuje dokument ZPP. Dokument ZPP bude ve všech případech jediným právně použitelným dokumentem.

1 Přiměřená a jednotná úroveň ochrany údajů

Společnost Fresenius musí celosvětově dodržovat mnoho zákonů o ochraně údajů. Závazná podniková pravidla (ZPP) stanoví jednotnou a přiměřenou úroveň ochrany údajů. To umožňuje interní výměnu osobních údajů mezi předmětnými subjekty společnosti Fresenius.

2 Použitelnost po celém světě

BCR se vztahují na následující subjekty společnosti Fresenius:

• Fresenius Kabi AG včetně všech dceřiných společností / přidružených společností
• Fresenius Digital Technology (FDT)
• Fresenius SE & Co. KGaA

Použitelnost pro určité činnosti

ZPP se vztahují na následující činnosti zpracování osobních údajů:

• Veškeré aktivity evropských subjektů
  
• Činnosti mimoevropských subjektů:
  • když shromažďují osobní údaje jménem evropského subjektu společnosti Fresenius, nebo
  • když spolupracují s evropským subjektem společnosti Fresenius,
  • když získávají osobní údaje od evropských subjektů,
  • když shromažďují osobní údaje od osob v Evropě za účelem nabízení zboží a služeb nebo v souvislosti s monitorováním chování.

ZPP se vztahují na procesy v listinné podobě i na procesy na bázi IT.

ZPP se vztahují na všechny procesy, které umožňují strukturované vyhledávání osobních údajů.

3 ZPP nastavují minimální úroveň

Pokud některé místní zákony o ochraně údajů vyžadují přísnější nebo dodatečná pravidla pro zpracování osobních údajů, je nutné je rovněž dodržovat.

Pokud je místní zákon v rozporu s ZPP, je třeba o tom informovat inspektora ochrany údajů (DPO). DPO posoudí dopad a konflikt vyřeší.

Pokud subjekt obdrží úřední příkaz ke zveřejnění osobních údajů, které není v souladu s požadavky ZPP, je třeba o tom informovat DPO. DPO bude informovat dozorový orgán v Německu.

4 ZPP jsou závazná pro organizaci a naše zaměstnance

ZPP musí být povinná a jsou závazná pro:

• Všechny subjekty: podepisují smlouvu.
• Všechny zaměstnance: mají povinnost dodržovat podnikové zásady na základě své pracovní smlouvy

Organizace a lidé mohou z těchto povinností odvozovat práva.

Vynucování BCR a potenciální sankce z důvodu porušení jsou stejné jako jakékoli jiné porušení zásad.

5 Společnost Fresenius založila organizaci pro ochranu údajů

Skupina Fresenius založila interní organizaci pro ochranu údajů a přidělila následující role a odpovědnosti:

• Inspektor ochrany údajů (DPO) monitoruje, tj. kontroluje a dohlíží na dodržování ZPP, místních zákonů, pravidel a procesů. DPO může provádět audity, kontroly a vyšetřování. DPO je rovněž kontaktní osobou pro orgány pro ochranu údajů v Evropě.
  • Kontaktní údaje jsou:
    • Inspektor ochrany údajů:
    • Else-Kröner-Str. 1
    • 61352 Bad Homburg v.d.H.
    • Německo
  • Nebo prostřednictvím e-mailu:
    • V případě Fresenius SE a FDT: ochranasoukromi@fresenius-kabi.com
    • V případě subjektů Fresenius Kabi: ochranasoukromi@fresenius-kabi.com
• Místní poradce pro ochranu údajů (LDPA) pomáhá a poskytuje poradenství místním zaměstnancům i vlastníkům procesů, kdykoli mají nějaké dotazy nebo obavy týkající se ochrany údajů. V případě potřeby LDPA podporuje DPA a DPO, např. na vyžádání v jejich monitorovací funkci a při kontaktu s dozorovými orgány, např. kvůli jazykovým bariérám. 
• Poradce pro ochranu údajů (DPA) poskytuje podpůrné a konzultační úkoly pro LDPA a je odpovědný za systém správy ochrany údajů. V případě potřeby DPA podporuje DPO na vyžádání v jeho monitorovací funkci a při kontaktu s dozorovými orgány, např. kvůli jazykovým bariérám.

6 V rámci ZPP je třeba dodržovat osm zásad ochrany údajů

Při zpracování osobních údajů se řídíme několika zásadami ochrany základních práv a svobod jednotlivců v souladu s ZPP. Každý subjekt musí při zpracování osobních údajů dodržovat následující zásady:

6.1 Zásada 1 Zákonnost

Při shromažďování, používání a zpracovávání osobních údajů mějte doložený právní základ. Tyto právní základy jsou uvedeny jako omezující. Mezi příklady patří:

• zpracování je nezbytné pro plnění smlouvy s jednotlivcem, jako jsou smlouvy se zaměstnanci a kupní smlouvy,
• jednotlivec udělil souhlas,
• oprávněné zájmy společnosti Fresenius jsou větší než negativní důsledky pro jednotlivce,
• potřeba splnit další právní povinnosti, jako jsou daňové zákony, požadavky na bdělost nebo požadavky GxP.

Zvláštní kategorie údajů, jako jsou údaje o zdravotním stavu, vyžadují další právní důvody.

Pokud místní zákony vyžadují dodatečná nebo odlišná ustanovení, je nutné je rovněž dodržovat (může se to například týkat údajů o zaměstnancích).

6.2 Zásada 2 Transparentnost a poctivost

S osobními údaji zacházejte poctivě a transparentně. Informujte jednotlivce předem nebo v okamžiku shromažďování a používání osobních údajů o následujícím:

• Kdo nese odpovědnost a jak je nás možné kontaktovat
• Jaké údaje jsou shromažďovány 
• Jakým způsobem jsou údaje shromažďovány
• Proč údaje potřebujeme (účel)
• S jakými organizacemi jsou údaje sdíleny
• Jestli jsou sdíleny s jinými zeměmi
• Jak dlouho budou údaje uloženy
• Právní základ pro shromažďování a používání údajů a jejich vysvětlení (zásada 1) 
• Jestli jsou jednotlivci profilovaní
• Jestli činíme nějaká rozhodnutí pomocí automatizovaných prostředků
• Jestli musí údaje poskytnout a co se stane, pokud tak neučiní
• Kontaktní údaje inspektora ochrany údajů a úřadu
• Práva, která jednotlivci mají.

Všechny tyto informace musí být poskytnuty v komplexní a snadno přístupné formě, jasným a srozumitelným jazykem.

6.3 Zásada 3 Omezení účelu

Osobní údaje používejte pouze ke stanoveným, výslovným a oprávněným účelům, pro které jsou shromažďovány. Další použití není povoleno, pokud toto další použití není v souladu s původním účelem a/nebo nejsou přijata další opatření.

Účely dalšího zpracování, u nichž se obecně má za to, že jsou v souladu s původním účelem, jsou: 

• Archivace
• Interní audit 
• Vyšetřování

(L)DPA bude schopen poskytnout radu, zda by změna účelu mohla být povolena. V případě povolení změny účelu musí být jednotlivci o všech takových změnách informováni.

6.4 Zásada 4 Minimalizace údajů

Shromažďujte a používejte pouze osobní údaje, které jsou nezbytné pro stanovený účel, který byl sdělen jednotlivci. To znamená zajistit, aby osobní údaje byly s ohledem na účel relevantní a nikoli nadbytečné.

6.5 Zásada 5 Přesnost

Udržujte osobní údaje přesné a aktuální. Musí být zavedeny postupy, které zajistí, že nepřesné údaje budou neprodleně odstraněny, opraveny nebo aktualizovány.

6.6 Zásada 6 Omezení uchovávání

Neuchovávejte osobní údaje déle, než je nezbytné pro účel, pro který byly shromážděny, pokud to nevyžaduje zákon. V takovém případě musí být přístup k nim omezen. Pokud již neexistuje právní důvod nebo účel, osobní údaje vymažte nebo anonymizujte.

6.7 Zásada 7 Zabezpečení, integrita a důvěrnost

Přijměte vhodná technická a organizační opatření na ochranu osobních údajů před zničením, ztrátou, změnou, zveřejněním nebo přístupem k osobním údajům (např. prostřednictvím konceptu vhodných rolí a práv, zálohování a obnovení nebo pomocí šifrování). Při zavádění těchto opatření je třeba vzít v úvahu rizika pro jednotlivce. Při instalaci a údržbě IT systémů musí být bezpečnost IT systémů posouzena s ohledem na tato rizika. Zdokumentujte a organizaci pro ochranu údajů nahlaste jakékoli porušení zabezpečení, které pravděpodobně povede k riziku pro dotčené jednotlivce. V závislosti na situaci musí být taková porušení oznámena také dozorovému orgánu, jednotlivcům nebo jiným organizacím.

6.8 Zásada 8 Odpovědnost

Buďte schopni prokázat soulad s ZPP. Docílíte toho vytvářením a udržováním příslušné dokumentace, jako jsou:

• záznamy o zpracovatelských činnostech,
• technická a organizační opatření přijatá k dodržení zásad ochrany údajů a k řešení rizik,
• posouzení rizika při ochraně údajů a kontroly.

6.8.1 Použití zpracovatelů

Používejte pouze zpracovatele, kteří poskytují dostatečné záruky k zavedení vhodných technických a organizačních opatření takovým způsobem, aby zpracování splňovalo požadavky BCR a místních zákonů o ochraně údajů. To musí být zajištěno smlouvou o ochraně údajů mezi příslušným subjektem a zpracovatelem.

6.8.2 (Další) Předávání osobních údajů

Zaveďte opatření k přiměřené ochraně předávání osobních údajů do jiných organizací, které se nacházejí mimo EHP, v souladu s těmito BCR. Toho lze dosáhnout sjednáním standardních smluvních doložek přijatých Evropskou komisí s druhou organizací.

7 Posouzení rizika při ochraně údajů

U každé činnosti zpracování údajů je třeba provést posouzení rizika při ochraně údajů. Toto posouzení je formálním procesem k posouzení dopadu činnosti na práva a svobodu příslušných dotčených subjektů údajů.

Zjištěné nedostatky při kontrole a potenciální rizika musí být nahlášeny a zdokumentovány. Před zahájením činnosti zpracování údajů musí být zavedena zmírňující technická a organizační opatření.

8 Posouzení dopadů na ochranu údajů

Pokud je výsledkem posouzení rizika při ochraně údajů vysoké riziko, je třeba provést posouzení dopadů na ochranu údajů (DPIA). Bude žádoucí poradit se s inspektorem ochrany údajů.

Pokud se při DPIA zjistí vysoké riziko konkrétní činnosti zpracování údajů, musí být před zahájením zpracovatelské činnosti zavedena odpovídající opatření ke zmírnění těchto rizik. Pokud DPIA po zavedení opatření stále uvádí vysoké riziko, je třeba před zpracováním údajů záležitost konzultovat s příslušným dozorovým orgánem.

9 Práva jednotlivců

Jednotlivcům musí být umožněno uplatnit jejich práva (práva subjektu údajů):

• Právo na přístup k osobním údajům: Jednotlivec může požádat o přístup/obdržení informací o jednotlivých osobních údajích zpracovávaných společností Fresenius (např. účelu zpracování, kategoriích dotčených osobních údajů, příjemcích, dobách uchovávání, jakémkoli využití automatizovaného rozhodování).
• Právo na opravu osobních údajů: Jednotlivec může požádat o opravu nepřesných nebo neúplných osobních údajů.
• Právo na vymazání osobních údajů: Jednotlivec může požádat o smazání svých osobních údajů, pokud je není nutné udržovat, např. z důvodu zákonných požadavků na uchovávání.
• Právo na omezení zpracování osobních údajů: Jednotlivec může požádat o omezení zpracování svých osobních údajů, pokud je zpochybněna přesnost osobních údajů nebo je zpracování nezákonné (pro sledované účely již není nutné).
• Právo na obdržení osobních údajů v přenosném formátu: Jednotlivec může požádat o obdržení svých osobních údajů v běžně používaném a strojově čitelném formátu, pokud jsou splněny následující podmínky:
  • Osobní údaje poskytl jednotlivec.
  • Zpracování je založeno na souhlasu jednotlivce nebo na smlouvě s jednotlivcem.
  • Zpracování se provádí automatizovanými prostředky.
• Právo vznést námitku proti zpracování osobních údajů: Jednotlivec může vzhledem ke své osobní situaci vznést námitku proti zpracování svých osobních údajů na základě oprávněného nebo veřejného zájmu. Taková žádost musí být vyhodnocena. Dále může jednotlivec vznést námitku proti přímému marketingu a profilování. Zpracování musí být následně zastaveno,
• Právo nebýt předmětem automatizovaného rozhodování: Jednotlivec má právo nebýt předmětem automatizovaného rozhodování (včetně profilování), které by mohlo vést k právním nebo podobným významným účinkům na jednotlivce, pokud to však:
  • Není nezbytné pro uzavření nebo plnění smlouvy mezi jednotlivcem a příslušným subjektem.
  • Není založeno na výslovném souhlasu jednotlivce.

10 Soulad s ZPP

10.1 Přístup k ZPP

ZPP musejí být jednotlivcům vhodným způsobem k dispozici. ZPP budou zveřejněna na internetu a intranetu.

Jednotlivci mohou mít přístup k ZPP také tak, že kontaktují příslušného inspektora ochrany údajů nebo kteréhokoli člena organizace pro ochranu údajů.

10.2 Vyřizování stížností ZPP

Každý jednotlivec má nárok:

• Podat stížnost na porušení ZPP, místních zákonů o ochraně údajů, příkazů dozorových orgánů, interních zásad a pokynů nebo dobrovolných vlastních závazků týkajících se ochrany údajů.
• Poukázat na svá individuální práva.
• Vynutit si jakékoli jiné právo ZPP.

Jakékoli takové stížnosti lze podat např. telefonicky, e-mailem nebo dopisem, ústně kontaktováním příslušného DPO, příslušného (L)DPA nebo horké linky pro dodržování předpisů.

V případě, že je stížnost uznána jako oprávněná, přijme subjekt adekvátní opatření k vyřešení stížnosti a informuje jednotlivce do jednoho měsíce.

10.3 Odpovědnost a vynucování

Jednotlivci, kteří jsou ovlivněni škodou nebo utrpěli škodu v důsledku zpracování svých příslušných osobních údajů, jsou oprávněni vynucovat tyto části BCR a případně získat náhradu před příslušným soudem.

V případě prokázaného porušení stranami se sídlem mimo EU/EHP přijímá společnost FSE odpovědnost a ručení za jakékoli škody vůči jednotlivcům. Subjekt, který škodu způsobil, poskytne společnosti FSE přiměřenou součinnost, aby mohla na takové stížnosti nebo žádosti včas reagovat.

10.4 Spolupráce s dozorovými orgány

Každý subjekt je povinen spolupracovat s dozorovými orgány, dodržovat rady týkající se výkladu těchto ZPP a souhlasit s auditem ze strany příslušných dozorových orgánů.

10.5 Školení

Každý subjekt se zaregistruje a uloží svým zaměstnancům povinnost zúčastnit se školení o ZPP a ochraně údajů a pravidelně toto školení opakovat. Obecné školení musí být poskytováno alespoň dvakrát ročně všem příslušným zaměstnancům. Kromě toho je poskytováno školení specifické pro jednotlivé pozice (např. pro oddělení lidských zdrojů nebo nákupu) s ohledem na specifické potřeby určitých pozic/osob.

10.6 Provádění auditu

Všechny strany se zavazují, že budou pravidelně podléhat auditu (prostřednictvím plánovaných nebo ad hoc auditů), aby se vyhodnotilo a otestovalo dodržování ZPP a zavedly adekvátní a dostatečné mechanismy k nápravě nesouladu subjektu s ZPP. Organizace pro ochranu údajů bude po každém vykonaném auditu provádět následné kroky, aby posoudila, zda byla navržená nápravná opatření náležitě zavedena, a dokumentovat veškeré výsledky ve zprávě o auditu. Každý subjekt na požádání zpřístupní zprávy o auditu dozorovým orgánům.

10.7 Aktualizace ZPP

Strany přezkoumají místní zákony o ochraně údajů a uvedou, zda jsou nutné změny ZPP. Společnost Fresenius může ZPP v případě potřeby upravit. Jakékoli významné změny ZPP budou neprodleně ohlášeny každému subjektu a dozorovému orgánu. Jakékoli jiné nepodstatné změny ZPP budou stranám oznámeny, jakmile to bude možné.

11 Správa ukončení

V případě, že subjekt přestane dodržovat ZPP (tj. ukončením příslušné dohody uvnitř skupiny), tento subjekt buď

• vrátí všechny osobní údaje jakýmkoli Stranám, od nichž byly údaje přijaty, nebo
• v souladu s místními pravidly pro uchovávání údajů zničí všechny takové osobní údaje, nebo
• zajistí dostatečné záruky týkající se těchto osobních údajů (např. uzavřením standardních smluvních doložek).